+$ 
SET REIT 


CONSULTORES ENW SEGURIDAD INFORMATICA 
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PROGRAMA sel. ¿RENT 


1. Sistemas detectores de intrusos: basados en host y 
basados en red 


Técnicas de detección de intrusiones 
Verificación de integridad 

Análisis de tráfico 

Sistemas actuales de detección de intrusos 
Detección activa. Honeypots. 

Respuesta a incidentes 

Técnicas de informática forense 

Recursos 


O pP A m p oep A 


Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekurelT, S.A. de C.V. 10.2003 | Página 1 


Terminología SEK ZEIT 





Detección de intrusos 


— Es el proceso de detectar acceso, o intentos de acceso, no 
autorizado a los recursos de cómputo de una organización. 


— Es el arte de detectar actividad incorrecta, inapropiada, maliciosa o 
anómala en los equipos de cómputo o red de una organización. 


— El proceso de detección de intrusos puede ocuparse de la atención 
de ataques originados desde el exterior de la organización, o de 
ataques generados en el interior de la propia organización (misuse 
detection). 
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Matriz de IDS 


SEK 


CONSULTORES EN SEGURIDAD INFORMATICA 





POSITIVE 


NEGATIVE 


TRUE 


TRUE - POSITIVE 
Una alarma se ha 
disparado, indicando 
una intrusión. 


¡La intrusión existe! 


TRUE - NEGATIVE 


No se ha disparado 
una alarma. 


¡No hay intrusión! 


FALSE 


FALSE - POSITIVE 
Una alarma se ha 
disparado, indicando 
una intrusión. 


¡La intrusión NO 
existe! 


FALSE - NEGATIVE 


No se ha disparado 
una alarma. 


¡La intrusión existel 
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Capacidades de los IDSs SEK RENT 


— Un IDS efectúa una o más de las siguientes actividades para 
realizar la detección de intrusos: 


e Reconocimiento de patrones asociados con ataques 
conocidos 


e Análisis estadístico de patrones anormales de tráfico 
e Verificación de integridad de archivos específicos 

e Monitoreo y análisis de actividad del sistema 

e Monitoreo y análisis de actividad de los usuarios 

e Análisis de tráfico de red 

e Análisis de bitácoras de eventos 
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Implantación de IDSs SEKT REIT 


— IDS basado en host (HIDS) 


e Los datos que serán analizados son generados por los 
equipos de la red 
e Los datos a analizar pueden ser: 


— recopilados de las bitácoras de las aplicaciones o las 
bitácoras del sistema operativo (Logfile surveillance) 


— Obtenidos a partir de la verificación de la integridad de los 
archivos (File system integrity checking) 
e Un sistema basado en host permite rastrear más 
fácilmente casos de uso inapropiado de recursos 
e Permite determinar con mayor facilidad si la intrusión fue 
exitosa 
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IDS basado en host SEK VEIT 





ll HOST CONSOLA DE ADMINISTRACIÓN] [ES 
a E 








1. OCURRE UN EYENTO 







5. GENERACION DE ALERTA 


= 





2. MOTOR DE DETECCIÓN 
— 


6. ALMACENAMIENTO DE ALERTA 





7. REPORTE DE ALERTA 


4 CREACIÓN DE RESPUESTA 


8. ANALISIS DE PERIODO 
3. ENVIO DE NOTIFICACIÓN 
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Implantación de IDSs (cont.) SEN REIT 


— IDS basado en red (NIDS) 


e Se analiza el tráfico que fluye a través de un segmento de 
red, por medio de un sensor configurado en modo 
promiscuo (sniffing). 

e Los sensores se instalan en posiciones estratégicas 
dentro de la organización. Usualmente se coloca uno en 
cada segmento crítico. 


e Un IDS basado en red no siempre permite determinar con 
exactitud si la intrusión fue exitosa 
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IDS basado en red SEK VEIT 








2. PAQUETE CAPTURADO (sniffing) 










3. MOTOR DE DETECCIÓN 





F = 





C J ETHERNET 2 


Y ALMACENAR ALERTA 
6.CREACIÓN DE RESPUESTA 








8. ANALISIS DE PERIODO 
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Implantación de IDSs (cont.) SEN REIT 


— |DS basado en stack 


e También conocido como NNIDS (Network Node IDS). 
e Similar a un firewall personal 


e Una variante de HIDS, que permite protección como la de 
un NIDS, en la cual el monitoreo se hace en la pila 
TCP/IP, permitiendo analizar los paquetes conforme 
fluyen en las diferentes capas. 


e Esto permite que los paquetes sean analizados por el IDS 
antes de que sean procesados por el kernel o por las 
aplicaciones 


Diplomado en Seguridad Informática | Detección de intrusos | O 2003 SekurelT, S.A. de C.V. 10.2003 | Página 1 


Implantación de IDSs (cont.) sele. REIT 


— IDSs basados en host: 
e Tripwire (www.tripwire.org) 


e AIDE (Advanced intrusion detection environment, 
http://www.cs.tut.fi/~rammer/aide.html) 


— IDSs basados en red: 
e Dragon (www.enterasys.com) 
e Snort (www.snort.org) 
e ISS Real Secure (www.iss.net) 


— IDSs basados en stack 
e Real Secure Desktop/Server (www.iss.net) 
e Tiny Firewall (www.tinysoftware.com) 
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Métodos de Análisis de ID-1 SEK VEIT 


¿Cuándo analizar? 


— Análisis basado en intervalos 


e Los eventos son recolectados y registrados en bitácoras 
(particulares o del sistema operativo) 


e Los datos son analizados en períodos de tiempo determinados 


e Se privilegia la exactitud de la información recopilada, sobre la 
velocidad de respuesta 


e Al no ser en tiempo real, no existe un gran impacto en el 
desempeño de los equipos en que residen los sensores 


e Los incidentes son detectados tiempo después de que han 
ocurrido. 


e Muy difícil responder a los incidentes 
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Métodos de Análisis de ID-2 SEK VEIT 


¿Cuándo analizar? (continuación) 


— Análisis en tiempo real 
e Los datos son analizados conforme son recolectados 


e El objetivo es que un ataque pueda ser bloqueado antes de sea 
completado y la víctima sea comprometida. 


— El equipo de seguridad puede atender el incidente mientras 
está ocurriendo 


— Pueden establecerse respuestas automatizadas para 
ataques conocidos 


e Se requieren recursos adicionales de procesamiento y memoria 


e La configuración es crucial, ya que una respuesta automática a 
un falso-positivo puede resultar costosa 
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Métodos de Análisis de ID-3 SEK VEIT 


¿Cómo analizar? 


— Análisis de firmas 


e El proceso de verificar la coincidencia de firmas de ataques 
conocidos contra los datos recolectados 


e Firma 
— Un evento o patrón de eventos que corresponde a un 
ataque conocido 


— Ejemplos: Una inundación de paquetes ICMP, una 
secuencia de bytes utilizada por un gusano 


e Debe existir la firma en el IDS para que un ataque pueda ser 
detectado 


e Al encontrar una coincidencia, se genera una alarma indicando 
una intrusión (o actividad maliciosa). 


e Comunmente implantado en los IDSs comerciales 
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Métodos de Análisis de ID-4 SEK EIT 


¿Cómo analizar? (continuación) 


— Análisis de Anomalías 


También conocido como behavioral or statistical analysis 


El IDS crea perfiles de comportamiento de cada usuario 
(horarios de conexión, duración de sesiones en la red, ancho de 
banda utilizado, etc.) 

El objetivo es encontrar una desviación a un patrón o 
comportamiento conocido. 

Al encontrar una desviación se genera una alarma indicando una 
posible intrusión. 


No es incorporado comunmente en los IDSs comerciales 
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Verificación de Integridad sele. REIT 


e La verificación de integridad de sistemas de archivos es una 
técnica que permite: 
— Determinar si se han modificado, eliminado o añadido 
archivos, con referencia en un estado anterior. 


— Detectar y reparar fácilmente un sistema modificado 
intencional o accidentalmente 


e Herramientas de verificación de integridad 
— Algoritmos de digestión: MD5, SHA1 
— Firma digital: PGP, GPG 
— Tripwire (Unix, Windows) 
— AIDE (UNIX) 
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Tripwire for Servers SEK _2EIT 


1. Tomar una foto digital 


de los archivos existentes 2. Tomar una segunda 


foto, para comparar 





3. Las violaciones de 
integridad son registradas 


ZN Email Tripwire 
ETT 
Reporte 2 


Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekurelT, S.A. de C.V. 10.2003 | Página 1 






































Componentes Tripwire sele! ¿REM 


e Política definida por el usuario 


— Especifica los objetos en el sistema y los atributos de dichos 
objetos que serán verificados 


— Es almacenada cifrada y firmada para prevenir cambios no 
autorizados (El Gammal, 1024 bits) 
e Base de datos de estado 
— Se construye con base en la política definida por el usuario. 


— Se usa como base para determinar si han ocurrido cambios en 
el sistema 


— Es almacenada cifrada y firmada para prevenir cambios no 
autorizados 
e Llaves criptográficas 


— Site key: protege las políticas y archivos de configuración que 
pueden utilizarse a lo largo de la organización. 


— Local key: protege la base de datos y reportes de una máquina 
en particular 
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Verificación de Integridad con Tripwire SEK EIT 





6. 
Tomar las medidas 


de seguridad 
pertinentes 





No 







1. 
Instalar la 4. 
aplicación y iciali Hacer 
crear el punto el verificación 
archiv o archivo de de 
de políticas políticas integridad 














¿Los üració Aaral 
i i ualizar e 
cambios son politicas es adecuada 


adecuados para los requerimientos archivo de 
(permitidos)? actuales? configuración 








¿Se 
encontraron 
cambios? reporte 












7 


Actualizar base a SÍ 
de datos 
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Puesta a punto de políticas SEK EIT 





Inicio 


3.1 
Ejecutar 
Verificación 
de Integridad 


3.3 
Actualizar 
Política 














ase 
encontraron 3.2 
errores en el Editar 








¿Se 
encontraron 
violaciones en el 
reporte? 


-Sí 
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Comandos de Tripwire SEK EIT 





e twadmin 

— Crear archivos de configuración y de políticas 

— Realizar operaciones criptográficas a los archivos de Tripwire 
e tripwire 

— Crear la base de datos 

— Verificar integridad 

— Actualizar la base de datos y las políticas 
e twprint 

— Presentar los reportes y la base de datos en texto plano 
e siggen 

— Generar e imprimir hashes de archivos 
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CONSULTORES EN W SEGURIDAD INFORMATICA 


Comando twadmin seki f [REIT 


— Crear y firmar el archivo de configuración de Tripwire a partir de 
un archivo de texto 


twadmin--create-cfgfile --site-keyfile /etc/tripwire/site.key 
/etc/tripwire/twcfg.txt 


twadmin -m F -S /etc/tripwire/site.key 
/etc/tripwire/twcfg.txt 


— Crear la política de Tripwire a partir de un archivo de texto 
twadmin--create-polfile /etc/tripwire/twpol.txt 
twadmin -m P /etc/tripwire/twpol.txt 
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Comando tripwire SEK ZEIT 





— Crear e Inicializar la base de datos con base en la política de 
Tripwire 

tripwire --init 

tripwire -m I 


— Verificar la integridad de los objetos, según la política 
tripwire --check 
tripwire -m c 


— Verificar la integridad de los objetos, según la política. Al 
término de la verificación, realizar interactivamente la 
actualización de la BD 


tripwire --check --interactive 
tripwire -mc -l 
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Comando tripwire (cont.) sele. IRET 


— Verificar la integridad de los objetos, según la política y enviar 
un reporte vía email 


tripwire --check --email-report [ --email-report-level { 011|2|3/4 } ] 
tripwire -m c -M [-tf0/1|21314 3 ] 


— Actualizar la base de datos de estado con base en un reporte de 
verificación previo 

tripwire --update --twrfile /pathto/reporte.twr 

tripwire -m u -r /pathto/reporte. twr 


— Actualizar la política de Tripwire a partir de un archivo de texto 
y sincronizar la base de datos de Tripwire con esta nueva 
política 

tripwire --update-policy /etc/tripwire/policy.txt 

tripwire -m p /etc/tripwire/policy.txt 
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CONSULTORES EN W SEGURIDAD INFORMATICA 


Comando twprint SEK. 9 [REIT 


— Imprimir un reporte en texto plano a la pantalla 


twprint --print-report --twrfile /pathto/reporte.twr [ --report-level { 0|1|2|3|4 } 
] 
twprint -m r -r /pathto/reporte.twr [ -t { 011|2]13|4 } ] 


— Imprimir el contenido de la base de datos de estado a la pantalla 


twprint --print-dbfile 
twprint -m d 
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h 


A 


Configuración de Políticas — 1 SEK ZEIT 





— Comentarios 


e Permiten incluir explicaciones, instrucciones y otros textos en el 
archivo de configuración de la política con objeto de hacerla más 
clara 


+ # Este es un comentario 
e objeto -> propiedades; # También este es un comentario 


— Reglas 


e Especifican los objetos del sistema que serán verificados por la 
aplicación: archivos, directorios, llaves del registro de windows 


e Especifican también las propiedades que serán modificadas 
e Cada objeto puede estar en una sola regla 


e objeto -> propiedades [ atributos ]; 
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Configuración de Políticas — 2 SEK ZEIT 





— Reglas (continuación) 
e Ejemplo en Unix 
/etc/home -> pinugs; # Objeto y propiedades son case-sensitive 
e Ejemplo en Windows 
c:lwinnt -> &size &sha1; # Objeto no es case-sensitive 
# propiedades son case-sensitive 


— Propiedades de reglas 
e Especifícan las características del objeto que serán verificadas. 


e Para incluir una o varias propiedades, debe establecerse un 
caracter + antecediendo a una serie de propiedades (si no se 
especifica, por omisión se considera el caracter +) 


e Para excluir una o varias propiedades, debe establerse un caracter 
— antecediendo a una serie de propiedades 


/mnt -> +pinu; c:lwinnt -> +8access &size; 
/mnt -> +pns -S; c:\winnt -> ¿access ¿size - 


«size; 
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Configuración de Políticas — 3 SEK ZEIT 





— Propiedades de sistema de archivos para objetos de UNIX 


| p [Permisos de archivo S O 
| ¡ [Número de inodo | 
lg [Group ID del propietario__________________________ñú] 
ls [Tamaño 

d [Número de dispositivo del disco en que el inodo del archivo está almacenado 
|b [Número de bloques asignados | 


último tamaño registrado 
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Ml: en el tamaño del archivo. Se espera que el archivo sea mayor que el 





Configuración de Políticas — 4 Sel REIT 


— Atributos de las reglas 


e Permiten extender la funcionalidad de Tripwire indicando cómo 
debe ejecutarse una regla o cómo debe reportarse una violación 


e rulename 
objeto -> propiedades (rulename="archivos criticos”); 


e severity 
— Valores posibles: 0 -— 1'000,000 
objeto -> propiedades (severity=150); 


e recurse 
— Valores posibles: truelfalse ; 0 — 1'000,000 
objeto -> propiedades (recurse=true); 
objeto2 -> propiedades2 (recurse=3); 


e emailto 
objeto -> propiedades (emailto=usuario@dominio.com); 
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Configuración de Políticas — 5 SEKT REIT 


— Bloques de reglas para aplicación de atributos 


(atributo1=valor, atributo2=valor, atributo3=valor) 
{ regla; 
regla; 


Ejemplo: 


(rulename="”"bitacoras”, emailto=administradorOdominio.com, 
severity=80) 
[ /etc/passwd -> pinugst; 
/etc/shadow -> pinugst-s (emailto=cuentasCOdominio.com); 
/bin/bash -> pinugstmbcM (severity=100); 


} 
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Configuración de Políticas — 6 SEKT REIT 


— Variables 


e Permiten sustituir elementos predefinidos en las reglas de la 
política de seguridad 


e La sustitución de la variable se hace usando el caracter $, seguido 
por el nombre de la variable entre paréntesis 


e Ejemplos: 


ROOT=/etc; 
$(ROOT) -> pin; 


ROOT=c:lwinnt; 
$(ROOT) -> €:sha ; 


PROP_CRIT=pinugtsdbmcSM; 
/temp -> $(PROP_CRIT); 
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Configuración de Políticas — 7 sele REIT 


— Variables Predefinidas 
ReadOnly 


e Conjunto de propiedades apropiadas para archivos con 
autorización lectura, disponibles a múltiples usuarios, pero que no 
deben ser modificados. 


e Equivale a: +pinugsmtdbCM -racISH 
e  /bin/bash -> $(ReadOnly); 


Dynamic 

e Conjunto de propiedades apropiadas para archivos y directorios 
que cambian frecuentemente. 

e Equivale a: +pinugtd -rsacmbICMSH 

e  /etc/syslog.conf -> $(Dynamic); 
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Configuración de Políticas — 8 sele REIT 


— Variables Predefinidas (continuación) 
Growing 


e Conjunto de propiedades apropiadas para archivos que 
normalmente crecen (tales como las bitácoras). 


e Equivale a: +pinugtdl -rsacmbCMSH 
e /var/log/syslog -> $(Growing); 


IgnoreNone 

e Incluye todas las propiedades de un objeto 
e Usarla siempre con -ar 

e Equivale a: +pinusgamctdrbCMSH -I 

e  /var/lib/sendmail -> $(IgnoreNone) -ar; 
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Configuración de Políticas — 9 Sel REIT 


— Stop Points 


e Especifican objetos que serán excluidos en una verificación de 
integridad. 


e El stop point se establece anteponiendo un caracter ! al nombre del 
objeto 
e Util en el caso de verificación recursiva de directorios 


e Ejemplo: 


Ivar/lib/tripwire -> $(IgnoreNone) -ar; 
I/var/lib/tripwire/reports; 
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Configuración de Políticas — 10 SEKT REIT 


— Directivas 
e Permiten seccionar y establecer cierta lógica condicional en el 
archivo de políticas 
e Las directivas inician con (WO seguido por el nombre de la directiva 


@@section (GLOBAL|FS|INTFSINTREG? 

— Esta directiva permite diferenciar diversos tipos de objetos de 
regla en el archivo de política 

— @@section GLOBAL se utiliza para definir variables globales 
que pueden ser utilizadas en subsecuentes secciones de la 
política 

— (MOsection FS se usa para definir las reglas de un sistema de 
archivos UNIX 

— @Q@section NTFS se usa para definir las reglas de un sistema 
de archivos de Windows 

— @Q@section NTREG se utiliza para definir reglas para el registro 
de windows 
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Configuración de Políticas — 11 SEKT REIT 


— Directivas (continuación) 


@@ifhost hostname [ || hostame2 || ... ] 


@@else 
@@endif 


— Permiten aplicar diferentes reglas a diferentes máquinas 
usando un sólo archivo de configuración. 


— No pueden ser utilizadas dentro de un bloque de reglas 
Ejemplo: 


@@ifhost aldonza||carrasco 
/etc/passwd -> $(Growing); 


@@else 
/etc/passwd -> $(ReadOnly); 


@@endif 
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Configuración de Políticas — 12 SEK ZEIT 





— Directivas (continuación) 


@@end 


— Esta directiva marca el final lógico de un archivo de política 


@@print “mensaje de texto” 


— Permite hacer debug de una política enviando una cadena de 
texto a stdout 


@@error “mensaje de texto” 


— Permite hacer debug de una política enviando una cadena de 
texto a stdout. 


— La aplicación termina y sale con un status de 1 
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CONSULTORES EN W SEGURIDAD INFORMATICA 


AIDE sele! [REIT 


Una alternativa no comercial a Tripwire 
Limitado en mecanismos de reporte de violaciones 


Incorpora algoritmos de hash adicionales para 
verificación de integridad 


Exclusiva para ambientes UNIX 
e Solaris 
• AIX 
* TRU64 
* Linux 
e BSDi 
e OpenBSD 
e FreeBSD 
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AIDE (continuación) SEK ZEIT 


Permisos O) 
INIA CS 
o 
b [Número de bloques asignados | 
time 2 
RO prientur ges mao] 
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CONSULTORES EN W SEGURIDAD INFORMATICA 


Configuración de AIDE SEKT REIT 


— Archivo de configuración 
. /usr/local/etc/aide.conf 


— Reglas 
objeto  propiedad1 + propiedad2 + propiedad3 +... 


/etc p+i+u+g HVerificar para archivos del directorio etc 
/usr/bin/p R # Archivos que inician con p dentro de 
/usr/bin 


/bin/vi$ p+i+n+u+g+s # El archivo /bin/vi 


/var 
I/var/log/.* 


# Verificar el directorio /var 
# Excepto los archivo del directorio /var/log 
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Uso de AIDE sel TRET 


— Iniciar la base de datos 
aide -c /usr/local/etc/aide.conf --init 


La base de datos recién creada e inicializada queda en 
/usr/local/etc/aide.db.new 


— Verificar la integridad 


Mover la base de datos /usr/local/etc/aide.db.new a 
/usr/local/etc/aide.db 


aide -c /usr/local/etc/aide.conf --check 


— Actualizar la base de datos 
aide -c /usr/local/etc/aide.conf --update 


La base de datos actualizada queda en /usr/local/etc/aide.db.new 
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CONSULTORES EN W SEGURIDAD INFORMATICA 


Snort SEK f REIT 


— Un IDS basado en red con las siguientes características: 


e Baja utilización de recursos 
e Capaz de examinar todo el paquete, no sólo los 
encabezados (payload inspection). 
Tres modos de operación: 
— Sniffer 
— Packet logger 
— NIDS 
En este modo snort utiliza un conjunto de reglas que 


definen el tráfico que será considerado para la 
emisión de alertas. 
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Reglas de Snort -1 SEN REIT 


— Una regla se compone de dos partes: 


e Encabezado 
— Acción 
— Protocolo 
— IP origen/máscara 
— Puerto origen 
— IP destino/máscara 
— Puerto destino 
e Opciones 
— Formato: (opción1: argumento1; opción2: argumento2,; ... ) 
— Especifican el mensaje de alerta que será emitido 


— Especifican qué parte del paquete es verificada en busca de 
una coincidencia 


alert tcp any any -> any 80 (content: “adult”; msg “Contenido para 
adultos”;) 
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Diplomado en Seguridad F 


Reglas de Snort -2 SEN REIT 


— Encabezado 
e Acción 
alert Generar una alerta y registrar el paquete en la 
bitácora 
log Registrar el paquete en la bitácora 
pass Ignorar el paquete 


activate Generar una alerta y activar otra regla dinámica 
dynamic Permanecer ocioso hasta ser activado por una regla 
activate, después comportarse como una regla log. 


e Protocolo 
tcp 
udp 
icmp 
ip 
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Reglas de Snort -3 sele REIT 


— Encabezado (continuación) 
e IP origen/máscara, IP destino/máscara 


any Cualquier dirección IP 

10.1.1.0/24 Red clase C: 10.1.1.0 
172.17.25.34/32 Host 172.17.25.34 
[192.168.1.0/24,172.25.0.0/16] Una lista de redes 
1172.16.1.0/24 Cualquier red, excepto 172.16.1.0/24 


e Puerto origen, Puerto destino 


any Cualquier puerto 

80 El puerto 80 

1:1024 Rango de puertos 1 a 1024 inclusive 
:1024 Cualquier puerto menor o igual a 1024 
500: Cualquier puerto igual o mayor a 500 


112345 Cualquier puerto, excepto el 12345 
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Reglas de Snort -4 SEN REIT 


— Encabezado (continuación) 


e Operador de dirección 
-> Origen a la izquierda, destino a la derecha 
<> Considerar los pares de direcciones/puertos en cualquier 
dirección. Util para registrar sesiones completas. 


e Puerto origen, Puerto destino 


any Cualquier puerto 

80 El puerto 80 

1:1024 Rango de puertos 1 a 1024 inclusive 
:1024 Cualquier puerto menor o igual a 1024 
500: Cualquier puerto igual o mayor a 500 


112345 Cualquier puerto, excepto el 12345 
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Reglas de Snort -5 SEN REIT 


— Opciones 
msg Imprimir un mensaje en alertas y registros de bitácora 
msg: “Texto del mensaje”; 


ttl Evaluar el valor del campo TTL del encabezado IP 
ttl: 128; 
ttl: >220; 


id Evaluar el valor del campo Fragment ID del encabezado IP 
id: 39426; 


content Buscar la coincidencia de un contenido específico en el 
payload 
de un paquete. El caracter pipe (| ) delimita datos binarios. 
content: "|Od0a5b52504c5d3030320d0a|"; #Firma de Sub7 


content: “public”; 
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Reglas de Snort -6 SEN REIT 


— Opciones (continuación) 
nocase Desactivar case sensivity en la opción content 
content: “USER root”; nocase; 


flags Evaluar las banderas TCP de un paquete 
Banderas: F (fin), S (syn), R (rst), P (psh), A (ack), U (urg) 
2 (bit reservado 2), 1 (bit reservado 1), 0 (banderas 
apagadas) 
Operadores lógicos: 


+ Todas las banderas especificadas hacen match 
(default) 


* Alguna(s) de las banderas especificadas hace(n) match 


1! Hace match si ninguna de las banderas especificadas 
está 


encendida en el paquete 
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Reglas de Snort -7 SEN RENT 


— Opciones (continuación) 
ack Evaluar el valor de reconocimiento del protocolo TCP 
ack: 0; 


sid Especificar un número de identificación único de la regla 
sid: 983; 


rev Especificar el número de revisión de la regla 
sid: 983; rev: 2; 


session: Extraer los datos de aplicación de una sesión TCP 
session: printable; HSólo lo que el usuario normalemente teclea 
o ve 
session: all; # Toda la sesión. Caracteres no imprimibles 
se 


sustituyen por su equivalente hexadecimal. 
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Reglas de Snort -8 SEK 2EIT 





— Opciones (continuación) 
flow Permite la inspección de paquetes basada en estados (en 
conjunción con TCP stream reassembly preprocessor). 
Adicionalmente, permite dar cierto contexto a las reglas. 


from_client Hace match en solicitudes de “nuestro” cliente a un 
servidor “externo” 

to_client Hace match en respuestas de un servidor “externo” a 
“nuestro* cliente 

to_server Hace match en una solicitud hacia “nuestro” servidor por 
parte de un cliente “externo” 

from_server Hace match en respuestas de “nuestro” servidor a 
un cliente “externo” 

established Hace match si el paquete es parte de una conexión 
TCP establecida 

stateless Hace match sin importar el estado de la conexión 
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Reglas de Snort -9 SEN REIT 


— Opciones (continuación) 
classtype  Categoriza las alertas en tipos de ataques 
El administrador puede especificar una prioridad a cada 
categoría (classification.config) 


classtype: attempted-admin; 
classtype: web-application-attack; 
classtype: trojan-acttivity; 


Archivo classification.config 


config classification: attempted-admin, Attempted Administrator Privilege Gain, 1 
config classification: not-suspicious, Not Supicious Traffic, 3 
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Ejemplos de Reglas de Snort sele. ¿RENT 


e Captura del tráfico intercambiado en sesiones POP3 
log tcp any any -> any 110 (session:printable;) 


Detección y registro de posibles contraseñas intercambiadas en texto 
plano alert tcp any any -> any any (content: “pass”; nocase; session: 
printable; \ 

msg: “Posible transferencia de password en texto plano”;) 


Detección de escrutinio TCP NULL a la red 10.1.1.0/24 


alert tcp any any -> 10.1.1.0/24 any (msg: “Detección de NULL scan”; flags: 
0;) 


Intento de enumeración de usuarios a través de FINGER 
alert tcp $EXTERNAL_NET $HTTP_PORT -> $HOME_NET 79 \ 
(msg:”Intento de enumeracion de cuentas con FINGER”; \ 
flow: to-server,established; content “a b c d e f”; nocase; \ 
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Recursos SE J REIT 


CONSULTORES EN W SEGURIDAD INFORMATICA 


Initial TTL values 
http://members.cox.net/-ndav1/self published/TTL_values.html 


Remote OS Detection 
http://www.astalavista.com/library/os/misc/detection.shtml 


ICMP usage in scanning 
http://www.sys-security.com/html/projects/icmp.html 


e Artículos sobre IDSs (Securityfocus) 
http://www.securityfocus.com/infocus/ids 
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Detección activa (Honeypots y Honeynets) SEI REIT 
e Honeypot 


— Un sistema, colocado en un ambiente de red real, diseñado para 
atraer y ser comprometido por atacantes 


— Sus objetivos son: 


e Mantener a los atacantes alejados de los equipos críticos, 
manteniéndolos ocupados con el honeypot 


e Ser un mecanismo de alerta en el caso de un ataque 
Registrar la actividad del atacante 


e Aprender, para incrementar la capacidad de detección y 
respuesta a incidentes del equipo de seguridad 
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Detección activa (Honeypots y Honeynets) SEI REIT 


e Honeypot de baja interacción 
— Ofrece un nivel de actividad limitado al atacante. 


— Normalmente emula servicios y sistemas operativos, de modo 
que el atacante no tenga interacción con sistemas operativos 
reales, pudiendo dañar a otros sitios 


— Fáciles de implantar y mantener 
— Ejemplo: Honeyd 


e Honeypot de alta interacción 
— Sistemas operativos y aplicacione reales 
— Es posible registrar ataques hasta ahora desconocidos. 
— Implantación compleja 
— Riesgo de que el honeypot pueda ser usado para atacar otros 
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Detección activa (Honeypots y Honeynets) SEK REIT 


e Honeynet 


— Una red completa diseñada especificamente para atraer y ser 
comprometida por atacantes 

— Su diseño debe ser tal que los atacantes piensen que es un 
ambiente productivo real 


— Características: 

e Un cortafuegos, dónde se controla y captura todo el tráfico 
generado por el atacante 

e Foneypots de alta interacción de diversos tipos: Windows 
NT, Windows 2000, switches Cisco , Linux, Solaris, HP-UX 

e Sistemas y servicios reales, no emulaciones. 

e Nada se hace para disminuir o incrementar la seguridad de 
los componentes. 
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Recursos SE J REIT 


CONSULTORES EN W SEGURIDAD INFORMATICA 


Honeypots, Definitions and Value of Honeypots 
http://www. tracking-hackers.com/papers/honeypots.html 


The Honeynet Project 
http://www.honeynet. org 


e Honeyd 
http://www.honeyd.org 
http://www.securityprofiling.com/honeyd/honeyd.shtml 


e Deception Toolkit 
http://www. all.net/dtk/index.html 
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Respuesta a Incidentes SEK REIT 





e Incidente 


— El acto de violar una política de seguridad explícita o implícita. 


— Ejemplos de Incidentes: 


e Intentos (fallidos o exitosos) para obtener acceso no 
autorizado a un sistema o a sus datos. 


e Denegación de servicios 


e El uso no autorizado de un sistema para procesar o 
almacenar datos 


e Cambios al hardware, firmware o software de un sistema sin 
el conocimiento, autorización o consentimiento del 
propietario 
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SkiP 





Reforzar la 
seguridad de 
componentes 

de la red 


SEK 


CONSULTORES EN SEGURIDAD INFORMATICA 


SKiP Method 
Security Knowledge In Practice 
http: www. cert.org/secunty-improvement'skip. html 


Preparar 


A Detectar , 
infraestructura : Responder a Mejorar la 
E Intrusiones i , , 

de detección intrusiones seguridad 


rápidamente 





respuesta 
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Asegurar componentes de la red SEKT REIT 


e Actividades 


— Definición de Política de Uso Adecuado de Recursos 


— Establecimiento de los mecanismos seleccionados para la 
seguridad física 


— Aseguramiento de SO de servidores y clientes 

— Actualización aplicaciones y servicios 

— Instalación de parches existentes 

— Establecimiento de mecanismos de autenticación 
— Respaldo de sistemas de archivos 

— Establecimiento de mecanismos de auditoría 

— Implantación de solución antivirus 

— Diseño e implantación de cortafuegos y DMZ 
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Preparar infraestructura detección/respuesta Seki ¿RE 


e Actividades 


— Definición de Política de IDSs 
— Etiquetar activos 


— Establecimiento de mecanismos seleccionados para la 
detección de intrusiones que permitan monitorear, inspeccionar 
y auditar: 


Tráfico y carga de la red 

Bitácoras de aplicaciones, sistemas operativos, etc. 
Actividades de los usuarios 

Virus 

Integridad de archivos y datos 

Vulnerabilidades 

Procesos y servicios 

Dispositivos 
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Preparar infraestructura detección/respuesta (cont.) SEK EIT 


— Establecimiento de mecanismos de respuesta útiles en el 
proceso de respuesta: 


Disponer de pruebas de la integridad de datos, configuraciones y 
respaldos 


Desarrollar y tener disponible un kit de herramientas y dispositivos 
para la atención de incidentes 


Disponer de un entorno aislado para probar los elementos 
encontrados 


Disponer de discos de arranque e instalación de sistemas 
operativos y aplicaciones 


Disponer de parches necesarios para sistemas operativos y 
aplicaciones 


Desarrollar y validar procedimientos de respaldo y restauración 


Desarrollar y validar un plan de pruebas a un equipo restaurado, 
para su ejecución previo al retorno al ambiente productivo 


Disponer de una base de datos de contactos 


Desarrollar y validar procedimientos de comunicación durante el 
incidente 
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Detectar intrusiones SEK REIT 


Utilizando sólo herramientas confiables en cuanto a su origen e 





integridad: 


e Monitorear la red 


Variaciones de carga 

Tráfico de sitios inesperados 

Repetidos intentos de conexión fallidos 

Paquetes mal formados 

Conexiones en horarios inusuales 

Escrutinios de puertos 

Tráfico de exploits, virus, gusanos o troyanos conocidos. 


e Monitorear el sistema 
— Cambios de desempeño en el sistema: CPU, memoria, disco 
— Actividades de los usuarios 


Login/logout 
Autenticación 
Procesos ejecutados 
Archivos accedidos 
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Detectar intrusiones (cont.) SEK UEIT 





e Monitorear el sistema (continuación) 
— Errores del sistema 
— Estado de los procesos 
— Escrutinio periódico de vulnerabilidades con herramientas 
especializadas 
e Monitorear sistemas de archivos 


— Verificación de integridad de archivos y directorios con base 
en una periodicidad establecidad 


— Detectar: 
Creación o eliminación de archivos y directorios 
Cambios en los atributos de los archivos 
Cambios en los archivos de configuración 
Violaciones a la integridad de las bitácoras 


e Auditar componentes de red 


— Identificar dispositivos y sistemas no autorizados, conectados 
a la red. 
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Responder a la intrusión SEK REIT 





— Responder a la intrusión significa: 
e Analizar la información disponible para caracterizar la 
intrusión, con objeto de determinar: 
— ¿Qué ataques fueron utilizados para ganar acceso? 
— ¿Qué datos y sistemas fueron accedidos por el intruso? 
— ¿Qué hizo el intruso después de obtener acceso? 
— ¿Qué está haciendo actualmente el intruso? 


Acciones Preliminares 


1. Registrar en una bitácora todas las acciones relacionadas con la 
respuesta a la intrusión 


2. Cumplir las políticas de comunicación de incidentes 
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Responder a la intrusión (cont.) SEK EIT 





Acciones de respuesta 


3. Capturar toda la información que puede perderse o no ser capturada 
por un respaldo, esta información incluye: 


e Conexiones de red establecidas 
e Procesos en ejecución 

e Usuarios conectados 

e Archivos abiertos 


4. Hacer una imagen completa del sistema comprometido, protegiéndola 
contra escritura 


. Aplicar mecanismos para contener la intrusión temporalmente 
. Analizar el sistema comprometido en un entorno aislado 
. Buscar signos de intrusión en otros sistemas 


© NOQ 


. Examinar bitácoras de cortafuegos, IDSs y ruteadores. ¡ La 
sincronización de relojes es crucial ! 


9. Identificar el ataque, a partir de la información recolectada 
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Responder a la intrusión (cont.) SEK [ZEIT 


Acciones de respuesta (continuación) 
10. Identificar las acciones del atacante luego de obtener acceso: 
e Analizar bitácoras 
e Verificar cambios en los sistemas de archivos 
e Buscar información eliminada 





11. Antes de restaurar el sistema, eliminar cualquier medio de acceso del 
atacante: 


e Cambiar todas las contraseñas a los sistemas que el atacante 
podría haber tenido acceso 


e Si la preparación fue insuficiente, resintalar el sistema totalmente 

e Eliminar las puertas de entrada del atacante identificadas 

e Restaurar aplicaciones y servicios a partir de medios originales 

e Verificar la configuración del sistema, aplicaciones y servicios 

e Identificar y corregir otras vulnerabilidades que pudiera tener el 
sistema 

e En caso necesario, mejorar los mecanismos de defensa y los 
mecanismos de detección 


12. Restaurar los sistemas a su operación normal 
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Mejorar la seguridad SEK 2EIT 





Luego de una intrusión o un intento de intrusión, es necesario: 


Evaluar la eficacia de las medidas de preparación para la ocurrencia 
de un incidente. 


Evaluar la eficacia de las herramientas de detección 


Determinar qué mecanismos podrían ayudar a mejorar el proceso 
de respuesta 


Determinar el costo de la intrusión con objeto de utilizarlo como 
referencia en posteriores análisis de riesgos. 


Elaborar un reporte del incidente para la Dirección 
Determinar la necesidad de realizar un nuevo análisis de riesgos 


Documentar las lecciones aprendidas y mejorar las políticas de 
seguridad y procedimientos. 


Tomar las acciones legales pertinentes. 
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